Riksbankens diarienummer 2011-97-STA PROTOKOLLSBILAGA C Fullmäktiges protokoll 2011-02-04, § 6 Direktionens säkerställande av ITsäkerhetsskydd Fullmäktiges revisionsenhet (REV) Håkan Skyllberg, BDO Direktionens säkerställande av IT säkerhetsskydd I arbetsordningen framgår att direktionen ska tillse att ett effektivt säkerhetsskydd upprätthålls i banken. REV har översiktligt granskat hur direktionen säkerställer att ett effektivt säkerhetsskydd inom IT upprätthålls; hur efterlevnad till beslutade regelverk avseende informationssäkerhet utvärderas och rapporteras till direktionen samt; hur informationsincidenter rapporteras till direktionen. Hur direktionen säkerställer att ett effektivt säkerhetsskydd inom IT upprätthålls Direktionen har fastställt en IT-policy och en säkerhetspolicy. De regler som finns idag inom IT-säkerhetsområdet är framtagna av den tidigare säkerhetsenheten och fastställda av chefen för den administrativa avdelningen Efter omorganisationen som genomfördes den 1 januari 2010 har säkerhetschefen inte längre huvudansvaret för informationssäkerhetsfrågor. Ansvaret för Riksbankens övergripande ramverk för informationssäkerhet har flyttats till riskenheten på stabsavdelningen. Regler och policies är under översyn och ska skrivas om, men innehållet kommer i stor utsträckning att påverkas av resultatet i projektet RITS, som avslutas under våren 2011. REV slutsats är att arbetssättet inom Riksbanken är under omarbetning, bl.a. som ett led i arbetet med ISK (Intern Styrning och Kontroll). Vi bedömer att en djupare granskning är adekvat först efter införande av det omarbetade arbetssättet. Hur efterlevnad till beslutade regelverk avseende informationssäkerhet utvärderas och rapporteras till direktionen Direktionen har sedan tidigare fastställt policy för området: Riksbankens säkerhetspolicy (DNR 2008-915-ADM) Vidare har den administrativa avdelningen beslutat om följande regler: Regler för styrning av informationssäkerhet (DNR 2008-1020-ADM) Regler för hantering av Riksbankens information (DNR 2008-886-ADM) Regler för användning av Riksbankens IT-resurser (DNR 2009-441-ADM) I samband med översynen av dessa dokument, som genomfördes 2010, kompletterades de med en fotnot där det framgår bl.a. att efter omorganisationen som genomfördes den 1 januari 2010 har säkerhetschefen inte längre huvudansvaret för informationssäkerhetsfrågor. Ansvaret för Riksbankens övergripande ramverk för informationssäkerhet har flyttats till riskenheten på stabsavdelningen. Regler är under översyn och ska skrivas om, men innehållet kommer i stor utsträckning att påverkas av resultatet i projektet RITS, som avslutas under våren 2011. Hur informationsincidenter rapporteras till direktionen I tertialrapporteringen som genomförts under 2010 återfinns riskenhetens rapportering avseende operativ risk där bl.a. IT-relaterade incidenter, hotbilder och systemrisker återfinns. REV kan konstatera att den nuvarande rapporteringen förefaller att vara ändamålsenlig. Projekt RITS – Rätt IT-Säkerhet Riskenheten har i beslutsunderlag till projekt RITS (DNR 2010-703-STA) konstaterat att nuvarande arbetssätt har förbättringspotential avseende ansvars- och arbetsfördelning. Det finns även skäl att se över processer och styrmedel för att stödja formuleringen av säkerhetskrav utifrån verksamhetens behov. Projektet RITS syfte är att ta fram, fastställa och förankra ett ramverk (regler, rutiner och övriga hjälpmedel) för hantering av säkerhet i IT-miljöer inom Riksbanken. Genomförs under perioden oktober 2010 till april 2011 med effektmålen: Överenskommen nivå för rätt säkerhet i IT-miljön Effektiv hantering av IT-risker Och produktmålen: Styrdokument för övergripande styrning av IT-säkerhet Styrdokument för reglering av basnivåer för IT-säkerhet Verktyg och hjälpmedel för tillämpning av styrdokumenten